Что делать, если вы получили отзыв согласия на обработку персональных данных

Отказ от обработки персональных данных — это документ, который составляют, когда человек не разрешает предоставлять кому-либо информацию личного характера. Если согласие уже предоставлено, то вы вправе написать заявление на его отзыв в любое время.

Содержание

Что относится к персональным данным

Это понятие достаточно обширное. Федеральный закон № 152 от 27.07.2006 определяет его как любые индивидуальные сведения, прямо или косвенно относящиеся к человеку, позволяющие установить его личность (п. 1 ст. 3). Всего списка персональных сведений закон не предоставляет. Чтобы определить принадлежность конкретных сведений к этой категории, в каждом случае требуется анализировать, есть ли возможность при помощи этих данных определить личность физического лица. Если да, то их относят к персональным данным.

В первую очередь это касается:

фамилии, имени и отчества;
данных из удостоверения личности;
СНИЛС, ИНН;
даты и места рождения;
адреса регистрации;
сведений о заработной плате;
контактных данных (номера телефона, e-mail) и др.

В законе указаны некоторые категории личных сведений. К первой категории относятся общедоступные данные — это те, на обработку которых дано согласие человека. Доступ к ним есть в справочниках, адресных книгах: ФИО, адрес, телефонный номер, профессия (ст. 8 ФЗ № 152). Вторая категория — специальные. К ним относятся национальность, религия, состояние здоровья, интимная жизнь, политические взгляды и т. д. (ст. 10 ФЗ № 152). Еще одна категория — биометрические — отпечатки пальцев, фото и видео с изображением лица, аудиозаписи голоса человека (ст. 11 ФЗ № 152) и др. К иным относят все остальное: о работе, стаже, семейном положении, интересах и др.

Куда нужно предоставлять персональные данные

В современном мире предоставлять разрешение на обработку персональных данных требуют при обращении в большинство учреждений, например:

в поликлинику;
финансовые учреждения;
в салоны сотовой связи;
работодателю при трудоустройстве;
в детсад, школу;
при регистрации в интернет-порталах и др.

При запросе любого учреждения на обработку конфиденциальной информации личного характера человек принимает решение и дает согласие добровольно и по собственному интересу (п. 1 ст. 9 ФЗ № 152).

Можно ли отказаться предоставлять персональные данные

Любой человек, не желающий предоставлять подробности индивидуальных сведений в сторонние организации, вправе написать заявление на отказ от их обработки. Если такое разрешение уже дано, а позже человек передумал, то он вправе отозвать его в любое время. Такую возможность предусматривает п. 2 ст. 9 ФЗ № 152.

После получения отзыва оператор обязан прекратить обработку личных сведений и уничтожить их не позже чем через 30 дней (п. 5 ст. 21 ФЗ № 152).

Необходимо подать оператору заявления на отказ от ОПД, если, по вашему мнению, их используют незаконно, передают третьим лицам, эти действия ущемляют ваши интересы и др. Но закон не предусматривает требование при подаче заявления обязательно объяснить причины отказа на обработку данных.

Только следует понимать, что без предоставления определенных документов не получится получить некоторые услуги — например, в образовательных организациях, в медицинских учреждениях (это не касается экстренной помощи) и др.

Что касается трудоустройства, то без определенных документов оформиться не получится (ч. 1 ст. 65 ТК РФ). Но требовать от претендента на вакансию другие документы незаконно (ч. 3 ст. 65 ТК РФ). В таком случае предоставить работодателю разрешение необходимо с указанием конкретных документов и целей, на обработку которых вы согласны. С этого момента ответственность за их сохранность ложится на работодателя. При расторжении трудового договора работник вправе написать заявление и отозвать согласие.

Как написать отказ

Единого стандарта для написания заявления об отказе персональных данных в законе не установлено. Это означает, что составлять заявление на отказ вы вправе в произвольном виде. Подойдет обычный лист А5 или А4 или официальный бланк, если такая возможность предусмотрена в организации.

При написании заявления ориентируйтесь на общепринятую структуру по правилам делопроизводства:

в правом верхнем углу пишут кому (фамилия и инициалы, должность главы компании или физлица, наименование фирмы) и от кого (фамилия, инициалы и паспортные данные заявителя);
по центру пишут наименование документа: «Отказ от предоставления персональных данных»;
в основной части — четко формулируете желание отказаться от предоставления оператору конфиденциальной информации;
отметьте, что вам разъяснили последствия (если это сделано), и уточните о возможности обжаловать это в суде;
дата и подпись заявителя.

Составляют заявление на запрет обработки личных данных в двух экземплярах: один для оператора, другой остается у гражданина (предварительно зарегистрируйте у секретаря).

Образец отказа от предоставления персональных данных

Вот как выглядит образец заявления для работодателя при трудоустройстве:

А это образец заявления на отзыв выданного ранее согласия на обработку личных сведений при увольнении:

Согласие на обработку персональных данных

Я,_____________________________________________________________________________________________________, паспорт серия _____ № ______ выдан «__» ______ г. __________________________________________________________,

зарегистрированной(го) по адресу: ________________________ даю _____________________________________________

(ОГРН _____________, ИНН __________), зарегистрированному по адресу: ______________________ _________________________________________________, (далее – оператор) согласие на обработку своих персональных данных.

В лице представителя субъекта персональных данных (заполняется в случае получения согласия от представителя субъекта персональных данных)

(фамилия, имя, отчество полностью)

проживающий по адресу: __________________________________________________________________________________

действующий от имени субъекта персональных данных на основании

(реквизиты доверенности или иного документа, подтверждающего полномочия представителя)

Цель обработки персональных данных:

– обеспечение соблюдения требований законодательства Российской Федерации;

– оформление и регулирование трудовых отношений;

– отражение информации в кадровых документах;

– начисление заработной платы;

– исчисление и уплата налоговых платежей, предусмотренных законодательством Российской Федерации;

– представление законодательно установленной отчетности в отношении физических лиц в ИФНС и внебюджетные фонды;

– подача сведений в банк для оформления банковской карты и последующего перечисления на нее заработной платы;

– предоставление налоговых вычетов;

– обеспечение безопасных условий труда;

– исполнение обязательств, предусмотренных договорами _____________________________________________________

(указать иные цели (при наличии)

Перечень персональных данных, на обработку которых дается согласие:

– фамилия, имя, отчество;

– год, месяц, дата и место рождения;

– свидетельство о гражданстве (при необходимости);

– реквизиты документа, удостоверяющего личность;

– идентификационный номер налогоплательщика, дата постановки его на учет, реквизиты свидетельства постановки на учет в налоговом органе;

– номер свидетельства обязательного пенсионного страхования, дата регистрации в системе обязательного пенсионного страхования;

– номер полиса обязательного медицинского страхования;

– адрес фактического места проживания и регистрации по месту жительства и (или) по месту пребывания;

– почтовый и электронный адреса;

– номера телефонов;

– сведения об образовании, профессии, специальности и квалификации, реквизиты документов об образовании;

– сведения о семейном положении и составе семьи;

– сведения об имущественном положении, доходах, задолженности;

– сведения о занимаемых ранее должностях и стаже работы, воинской обязанности, воинском учете;

(указать иные категории ПДн, в случае их обработки)

Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу___________________________________________

(указать полное наименование юридического лица, фамилия, имя, отчество и адрес физического лица, осуществляющего обработку персональных данных по поручению оператора, которому будет поручена обработка)

Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных:

Обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.

Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (только те, которые применяются реально)

Обработка вышеуказанных персональных данных будет осуществляться путем ________________________________

___________________________________________________________________________ обработки персональных данных.

(указать способ обработки (смешанной, автоматизированной, неавтоматизированной)

Даю согласие на передачу (предоставление) оператором моих данных: ___________________________________________

(указать полное наименование юридического лица; фамилия, имя, отчество и адрес физического лица; передачу которым дается согласие)

(предоставления, допуска, предоставления)

Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

Настоящее согласие на обработку персональных данных действует с момента его представления оператору до «__» _________20___ г. или на период действия ________________ и может быть отозвано мной в любое время путем подачи оператору заявления в простой письменной форме.

Персональные данные субъекта подлежат хранению в течение сроков, установленных законодательством Российской Федерации. Персональные данные уничтожаются: по достижению целей обработки персональных данных; при ликвидации или реорганизации оператора; на основании письменного обращения субъекта персональных данных с требованием о прекращении обработки его персональных данных (оператор прекратит обработку таких персональных данных в течение 3 (трех) рабочих дней, о чем будет направлено письменное уведомление субъекту персональных данных в течение 10 (десяти) рабочих дней.

____________________________________ /______________/ «__» ________ 20__ г.

Время публикации: 03.10.2009 03:00 Последнее изменение: 14.06.2017 11:11

В ходе рассмотрения этого дела было наглядно продемонстрировано, как правильно поступать в подобных случаях. Ведь саму процедуру таких исков не всегда до конца понимают даже наши суды.

А подобных споров о защите персональных данных в последнее время стало так много, что на проблему приходится обращать внимание не только самим гражданам, но и правоохранителям, юристам, законодателям.

Кому только ни нужны в настоящее время наши персональные данные – от воров и мошенников всех мастей до коммерсантов, рассылающих рекламу своих товаров или услуг.

Поэтому имя человека, его адрес, паспортные данные и прочее с каждым днем становятся все дороже. В итоге сложился целый нелегальный рынок, на котором можно купить персональные данные, а их хозяева даже знать об этом не будут.

Сегодня, чтобы взыскать через суд убытки от утечки персональных данных, гражданин должен обладать железными нервами и здоровьем

Между тем, сегодня, чтобы взыскать через суд убытки от утечки персональных данных, гражданин должен обладать железными нервами и здоровьем. Ему надо доказать не только факт нарушения, но и размер своих убытков от разглашения, а также причинно-следственную связь между нарушением и убытками. Да и штрафы Роскомнадзора за нарушение прав субъектов персональных данных доходят лишь до 75 000 рублей.

Но и такие суммы за последние годы не присуждали.

Наши суды ограничиваются 10-20 тысячами рублей компенсации. Хотя в Европе предусмотрены штрафы до 4 процентов оборота компании. А это заставляет организации ответственно подходить к вопросам защиты персональных данных.

Сегодня в России, как подчеркивают специалисты, судебная практика по таким спорам только начинает формироваться. Подчеркнем сразу – ведущая роль в спорах о защите данных принадлежит Роскомнадзору. Именно он обладает главными полномочиями при контроле за соблюдением закона.

Наша история началась на Дальнем Востоке, где гражданин написал заявление в местное управление Роскомнадзора. В заявлении было сказано, что в интернете без его разрешения некая фирма с Багамских островов распространяла его персональные данные.

Роскомнадзор поступил как положено – от имени заявителя отправил иск в суд. В нем было требование защитить права гражданина как субъекта персональных данных и ограничить доступ к информации о нем.

Но Центральный районный суд Хабаровска исковое заявление не принял. По логике суда, требования заявителя – административные. А раз так, то они не должны рассматриваться в порядке гражданского судопроизводства. Отказ был обжалован, но апелляции поддержала коллег. Она заявила, что требования Роскомнадзора связаны с административным регулированием правовой деятельности интернет-ресурса как СМИ, поэтому выводы райсуда о рассмотрении спора в административном порядке верны.

В итоге всех споров дело дошло до Судебной коллегии по гражданским делам Верховного суда. И там с мнением дальневосточных судов не согласились.

Верховный суд начал с того, что напомнил: Роскомнадзор имеет право обратиться в суд с иском в защиту субъектов персональных данных. В том числе и неопределенного круга лиц. Это сказано в Законе “О персональных данных”. Также ведомство имеет право представлять пострадавших в суде.

А еще Верховный суд указал на статью 26 Гражданского процессуального кодекса. Там сказано, что иски о защите прав субъекта персональных данных, в том числе об убытках или компенсации морального вреда, можно предъявлять в суд по месту жительства истца. Поэтому заявление в защиту жителя Дальнего Востока надо было рассмотреть в порядке гражданского судопроизводства.

Сложился целый нелегальный рынок, на котором можно купить персональные данные граждан

Как правило, истцом в судах о защите персональных данных обычно выступает гражданин, с персональными данными которого совершены незаконные, по его мнению, действия. Сам Роскомнадзор реже, чем простые граждане, обращается с исками в суд. Обычно ответчиком в таких спорах оказывается оператор персональных данных или тот, кто получил доступ к персональным данным гражданина.

Весной этого года стало известно, что Госдуме и Роскомнадзору предложили законодательно ужесточить ответственность за нарушения в сфере персональных данных. Если предложение пройдет, то за каждый доказанный случай утечки данных граждане смогут требовать от бизнеса и госорганов компенсацию от 500 000 до 5 миллионов рублей. Такую инициативу озвучила Ассоциация юристов России. Там подготовили предложения по изменению закона “О персональных данных”. АЮР хочет обязать операторов персональных данных, в числе которых есть все госорганы, компании и физические лица, обрабатывающие такие сведения, по требованию граждан выплачивать им, по решению суда, в случае утечки компенсацию в размере от 500 000 до 5 миллионов рублей. Если утечка данных произошла по вине пользователя, то оператор освобождается от ответственности.

Возможность взыскать компенсацию с компании в случае утечки теоретически есть и сейчас, но, по мнению АЮР, она сильно затруднена.

В качестве примера можно вспомнить одно из таких дел, когда истец обратился к администратору домена с требованием удалить с сайта профиль истца, содержащий его персональные данные, и отзывы пользователей. Но получил отказ. Тогда дело принял по заявлению гражданина районный суд. По общему правилу иск предъявляется в суд по месту жительства ответчика, иск к организации – в суд по ее адресу.

При этом иски о защите прав хозяина персональных данных, в том числе о возмещении убытков, компенсации морального вреда, могут предъявляться и в суд по месту жительства истца.

Если нарушен закон о персональных данных, пострадавший человек может защищаться и с помощью Закона “О защите прав потребителей”. В таком случае иск можно предъявить по выбору истца в суд по месту нахождения ответчика-организации. А если ответчиком является индивидуальный предприниматель – по месту его жительства, по месту жительства или пребывания истца либо по месту заключения или исполнения договора. Это сказано в 29-й статье ГПК и в статье 17 Закона “О защите прав потребителей”.

Требования, связанные с нарушением прав на обработку персональных данных, рассматриваются в порядке гражданского судопроизводства на основании норм ГПК. Это означает, что суды самостоятельно оценивают, относится ли та или иная информация к персональным данным, подлежит ли она защите.

В нашем случае Верховный суд отменил отказные решения дальневосточных коллег и велел рассмотреть требование гражданина.

Отказ от взаимодействия с 3-ими лицами

Исходя из 254 федерального закона от 01.07.2021 г. который вносит изменения в 230 ФЗ получается без согласия самого третьего лица они не должны с ним взаимодействовать и без отзыва согласия или я неправильно понимаю? Кто в теме разъясните, пожалуйста.

Гость

Здравствуйте! Хочу отозвать согласие на взаимодействие с третьими лицами. Достаточно ли написать название банка и юридический адрес? Или нужно указывать конкретного человека (руководителя, директора и тд), кому отправляется заявление?

Участник

Вы отзывали свое согласие или с 3-ими лицами?

Легенда форума

Там все понятно написано. Они не могут прекратить обработку ваших персональных данных по Закону! Так как вы им должны!
Как это вы себе представляете,чтоб они ваши данные не обрабатывали,и забыли о вас,а при этом у вас долг.
Отзыв согласия на взаимодействия с 3 лицами и Отзыв персональных данных это 2 разных заявления.
Отзыв персональных данных пишется,только если у вас нет задолженности перед компанией.
В связи с поправками в 230фз от 01.07.2021 г.отзыв о взаимодействие с 3 лицами вообще не нужно направлять,только в банки по договорам до 01.07.2021г.

посидев, поразмыслив и проревевшись я уже поняла, что персональные это другое)
но совсем ничего не знаю о поправках. что там в них? почему можно не отправлять? для меня самое страшное это выход на окружение. пытаюсь обезопаситься

Поправки в 230 ФЗ от 01.07.2021г они не имеют право звонить 3 лицам,без их письменного согласия. По этому по сути отзыв уже не нужен,так как они и так не имеют право звонить 3 лицам. Но! Почти все не соблюдают этот закон.
Кто то продолжает отправлять отзыв,кому то так спокойнее.
Но и в случае нарушения с их стороны,и не писав отзыв,так же спокойно можно подавать жалобу приставам на ФССП.

Опытный участник

Так ребят,можно еще раз по полочкам:

К примеру, тинькофф звонит и им абсолютно все равно, писал ли ты отзыв о взаимодействии или нет.

Подскажите ,каждому мфо надо писать такие большие письма ,их у меня много, или можно написать просто что отзываю

а вы от руки что ли пишете?

А как правильно писать письма на отзыв электронные именно? Я так понимаю можно не от руки это делать

нужно распечатать, подписать и отсканировать. потом прикрепить скан на сайте почты

Понял, спасибо. Видимо от руки придется, принтера нет..

Я почитала закон и задумалась а надо ли заморачиваться с письмами и их оплатой. Закон есть ,но многие его не соблюдают:
1) пункт 2 части 5 изложить в следующей редакции:

“2) имеется согласие третьего лица на осуществление с ним взаимодействия.”;

2) часть 6 изложить в следующей редакции:

“6. Согласия, указанные в пунктах 1 и 2 части 5 настоящей статьи, содержащие в том числе согласие должника и (или) третьего лица на обработку его персональных данных, должны быть даны в письменной форме в виде отдельных документов.”;

Непререкаемый авторитет

по идее не имеют право, но в договорах все равно есть этот пункт, где мы разрешаем им якобы взаимодействие. понятно, что при жалобе их в любом случае натянут. я так думаю письмом можно просто показать свою решимость дать им отпор. если скрываться просто или отвечать, но просить отсрочки, жаловаться на проблемы и т. д. будут действовать жёстче. я вот хотела вчера поглумиться в Ватсапп, потом прочитала, что на сообщения где никто не представился и не обозначил компанию лучше не отвечать, и вообще не стала даже в сообщения заходить, у них оно непрочитано . будут звонить, буду отвечать, но говорить буду – сейчас денег нет, когда будут не знаю. начнут давить, как сегодня аденьги, буду посылать или троллить, зависит от собеседника. сегодня требовали сообщить адрес регистрации и проживания. я говорю – с хера ли? я заполняла анкету, у вас все есть, сообщать неизвестно кому не намерена. я ж не знаю кто она вообще такая мало ли кем представилась. она такая – я должна перепроверить данные, работа же сменилась. где теперь работаете? я говорю – а вам какое до этого дело? хотите позвонить мне на работу? не угадала, не скажу.
короче довела ее до психа. она рявкнула, что на адрес регистрации придет письмо с уведомлением и бросила трубку. ну придет значит родители узнают, плохо, но не смертельно. да и я уже в таком состоянии, что где то буду рада, если мои узнают, мне вообще нечего тогда бояться. друзей у меня нет, на работе пох, да и не узнают они где я работаю. я просто не собираюсь родным сообщать сколько и во скольких, попросить заказные письма на меня не получать, пусть обратно всем уходят. может дойдет что и в суд подавать надо не по реге, а по проживанию. ну а дальше посмотрим. если начнут присылать угрозы, я над ними точно постебусь. дальше буду смотреть, кто предложит реструктуризацию, скидку, рассрочку. а кто то пусть идёт в суд, если дойдет, но в ФССП жалобы катать я уже готова, пусть только провод дадут. на телефон уже поставила прогу записи звонков, скрины делать умею. если будут звонки родне, возьму список номеров и даже без доказательств накатаю жалобу. злая я на них уже. именно из за методов взыскания, а не из за того что торчу им)
в суде можно попробовать списать излишне начисленное. можно забить и дождаться конца ИП, а там глядишь приставы спишут полностью. у меня так два уже списали.
ещё дурачки пугают испорченной кредитной историей. да боже ж мой, вы хоть в курсе кому вы пишете? она и так в ауте уже давно. тьха..я на данный момент только рада буду, если мне больше никто никогда ничего не даст. момент, когда хотелось рефинансироваться и вылечить ки давно прошел, мне глубоко насрать стало уже

Наверно приставы, все таки, прекратили исполнительное производство по статье 46, а не списали полностью? Если так, ждите через пол года или около того возвращение исполнительных листов приставам.

не, там скорее просто списали дело, по номеру ИП даже нет ничего в архиве, а в ки по этим долгам нет задолженности даже, все закрыто. оба долга были проданы езаемом и монезой в цду вроде. цду мне только письма писали на электронку в течение года наверно, предлагали то со скидкой, то просто оплатить. потом уведомление прислали на почту, потом 2 сп, отменила, потом ИП уже. 4 раза вызывали, я игнорила. потом тишина, весной думаю, дай зайду проверю, а все, нет ничего. в ки стоит дата закрытия долгов 11 января этого года
ну то есть письма то с суда я получала, то есть местонахождение мое известно. в остальном тишь да гладь

По закону приставы не имеют права списать задолженность без решения суда, то есть аннулировать её у приставов не получится. Если заемщик не в силах платить, у него нет имущества, работы, то исполнительное производство против него могут остановить по статье 46, но это не их обязанность, а лишь возможность получения поблажки. Поэтому у вас какая-то мутная история. Не могут ИП просто исчезнуть. Если только кредиторы отказались от возврата долга.

В каком случае можно отозвать разрешение на обработку личных данных

Согласно закону, каждый человек может попросить оператора, который обрабатывает его личные данные, прекратить обработку, в случае, если человек изначально ее разрешил.

Отозвать разрешение на работу с личной информацией можно в любое время, например, если родители переводят ребенка в другой сад или школу или при смене сотового оператора. Даже в банк можно направить отзыв согласия, если вы больше не являетесь его клиентом. Это целесообразно сделать, чтобы кредитная организация не мучила звонками со своими рекламными предложениями.

А вот с коллекторами не все так просто. Они могут работать с персональными сведениями даже без разрешения должника, закон это допускает. Им можно письменно отправить отзыв разрешения на обработку личной информации, в этом случае он будет называться отказ от взаимодействия. Это только ограничит их работу, они не смогут звонить по указанным номерам или писать на электронную почту. Но присылать бумажные письма через Почту России продолжат, также у них остается право подать в суд на должника.

Еще можно отправить заявление на отзыв согласия на обработку персональных данных бывшему работодателю. Если сотрудник больше не работает в компании, нет смысла использовать его личную информацию.

После окончания трудовых отношений документы передают в архив. Даже если с работника взяли согласие на обработку личных данных, а потом он его отзовет, информация будет храниться в архиве определенный срок. Работать с ней уже будет нельзя, но и уничтожить тоже.

В заявлении о прекращении обработки персональных данных работник может подробно расписать детали и причину, по которой он отзывает согласие или просто указать «в связи с неправомерным использованием личных сведений».

Также в заявлении, чтобы оно считалось юридически действительным, нужно указать:

наименование оператора и его адрес;
сведения о самом заявителе (ФИО, адрес, паспортные данные);
дата, подпись и расшифровка.

Когда согласие работника на обработку персональных данных отозвать нельзя

Если человек отзывает согласие на работу со своими персональными сведениями, то их следует уничтожить (ст. 21 Закона ), если для целей обработки эта информация больше не нужна. Но существуют два условия, при котором оператор может не обращать внимания на отзыв согласия и продолжать работать с личной информацией:

если в договоре или соглашении между оператором и владельцем персональных данных это условие предусмотрели;
если есть законные основания для продолжения обработки (пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона № 152-ФЗ).

Также без разрешения гражданина будут использовать его персональные данные:

суды и судебные приставы, если против человека ведется дело или есть предписание;
органы социальной поддержки (выплата пособий, пенсий, льгот);
при защите жизни гражданина и его здоровья (врачи, полиция);
журналисты, если это связано с их деятельностью;
вторая сторона в договорах ГПХ или международных, если они заключены с владельцем персональных сведений;
органы статистики, если обезличивают информацию;
другие ситуации согласно ст. 6, 10, 11 Закона №152-ФЗ.

Что делать, если работник прислал отзыв согласия на обработку персональных данных

Если работник потребовал прекратить обработку его личной информации, то действовать нужно по следующему алгоритму:

Если в компании еще нет соответствующего ЛНА, сформируйте и утвердите документ, в котором закрепите порядок уничтожения персональных данных.
Зарегистрируйте полученный отзыв разрешения. Работник подает его в двух экземплярах. Нужно поставить отметку на втором экземпляре.
Выдайте или направьте сотруднику уведомление в свободной форме о том, что заявление на отзыв разрешения на обработку персональной информации (№, дата) вы получили и приняли в работу. В нем укажите, что вы как оператор примете все меры согласно п. 5 ст. 21 Закона . Дальнейшая обработка будет проводиться только в случаях, предусмотренных в Законе. Подпишите и поставьте печать.

Какие общие требования предъявляют к обработке персональных данных, читайте в .

4. В течение 10 дней прекратите работу с личной информацией человека, если она больше не нужна для целей обработки согласно законодательству. Если ее обрабатывает третье лицо, обеспечьте прекращение обработки.

5. Приказом созовите специальную комиссию по уничтожению персональных данных. В ее составе должны быть не меньше трех человек: председатель и два других сотрудника, один из которых или оба ответственные за обработку персональных данных в компании. Комиссия составит перечень документов с учетом срока хранения, которые нужно уничтожить.

6. Уничтожьте носители, которые содержат персональную информацию о работнике. Сделать это нужно в течение 30 дней после того, как получили отзыв. Уничтожение персональных данных — это действие, в результате которого информацию с бумажного или электронного носителя нельзя будет прочитать. В электронном виде информацию просто стирают. Для бумаги можно воспользоваться шредером.

7. Сформируйте акт об уничтожении персональных данных.

8. В специальном журнале зафиксируйте названия, номера и даты документов, которые уничтожили, а также причину и способ уничтожения. Форму журнала можно разработать самостоятельно.

Обязательно ли получение согласия на обработку персональных данных

Согласие на обработку персональных данных физического лица не требуется в случаях, приведенных в п. п. 2 — 11 ч. 1 ст. 6 Закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Например, оно не нужно, если обработка необходима для:

• заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем. Например, если индивидуальный предприниматель арендует у компании помещение и в договоре указываются его паспортные данные;

• исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин. Например, если запрашивается адрес гражданина для доставки ему товара;

• осуществления и выполнения функций, полномочий и обязанностей, которые возложены законодательством. Например, если продавец получает у клиента адрес его электронной почты, чтобы направить ему кассовый чек в электронной форме (Письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ);

• осуществления прав и законных интересов (компании или третьих лиц) либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, если в целях обеспечения безопасности охранник записывает Ф.И.О. и паспортные данные посетителей.

В остальных случаях обработка персональных данных осуществляется с согласия гражданина (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). Например, придется получить письменное согласие, если компания собирает данные граждан для маркетингового исследования или уступает требование к должнику — физическому лицу.

Изменения в согласии на обработку персональных данных в 2023 году

Высокая степень вреда устанавливается, в частности, при обработке персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому он является. А также для заключения договора по инициативе несовершеннолетнего или договора, по которому он будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством РФ.
Средняя степень вреда – в случае получения согласия на обработку персональных данных посредством реализации на официальном интернетовском сайте функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных.

Результаты оценки должны быть оформлены актом оценки вреда.

Как указать цель обработки персональных данных в согласии

Целевой характер обработки персональных данных подразумевает, что она должна ограничиваться достижением конкретной цели (ч. 2 ст. 5 Закона № 152-ФЗ). То есть все действия со сведениями должны быть связаны с той целью, с которой они получены.

За обработку персональных данных, не совместимую с целями их сбора грозит административная ответственность. За первое нарушение (ч. 1 ст. 13.11 КоАП):

• компанию могут оштрафовать на сумму от 60 тыс. до 100 тыс. рублей;

• ее должностных лиц – от 10 тыс. до 20 тыс. рублей.

За повторное нарушение наказание будет серьезнее (ч. 1.1 ст. 13.11 КоАП):

• компании грозит штраф от 100 тыс. до 300 тыс. рублей;

• ее должностным лицам – от 25 тыс. до 50 тыс. рублей.

Цель обработки в согласии должна быть:

• заранее определенной. Цель необходимо определить до начала обработки сведений и довести ее до гражданина, в том числе путем включения в согласие. Рекомендуем также закрепить ее в локальном акте, посвященном обработке данных. Цели обработки могут происходить из анализа правовых актов, которые регламентируют деятельность компании, целей фактически осуществляемой ею деятельности, а также деятельности, которая предусмотрена учредительными документами, а также из анализа конкретных бизнес-процессов в конкретных информационных системах персональных данных;

• конкретной. Чтобы у контролирующих органов не возникло вопросов, рекомендуем не использовать абстрактные формулировки. Например, если речь идет о повышении продаж путем СМС-рассылки, в качестве цели должно быть указано не «повышение продаж», а «осуществление рекламной СМС-рассылки».

С 1 сентября 2022 года согласие на обработку персональных данных должно отвечать таким требованиям, как (ч. 1 ст. 9 Закона № 152-ФЗ):

Законодательно бланк согласия не утвержден, составить его можно в произвольной форме. Перечень сведений, которые должные быть отражены в согласии, приведен в ч. 4 ст. 9 Закона № 152-ФЗ. Это, в частности:

• ФИО, адрес физлица, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

• ФИО, адрес представителя гражданина, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или другого документа, подтверждающего полномочия этого представителя (при получении согласия от представителя гражданина);

• название или ФИО, адрес оператора, получающего согласие на обработку данных;

• цель обработки сведений;

• перечень персональных данных, на обработку которых дается согласие;

• название или ФИО, адрес лица, осуществляющего обработку сведений по поручению оператора, если обработка будет поручена такому лицу;

• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки данных;

• срок, в течение которого действует согласие, а также способ его отзыва, если другое правило не установлено законом;

• подпись физлица-субъекта персональных данных или его представителя.

По ссылке можно посмотреть Образец согласия на обработку персональных данных.

Согласие на обработку персональных данных ребенка

Согласие на обработку персональных данных ребенка может потребоваться, например:

• образовательным учреждениям для обработки данных о прохождении обучения, сдачи экзаменов, участии в олимпиадах;

• медучреждениям, если ребенок проходит осмотр или обследование;

• работодателю при устройстве несовершеннолетнего на работу;

• консульствам и представительствам зарубежных стран для оформления виз на выезд ребенка за границу и так далее.

В Законе № 152-ФЗ не указано, с какого возраста гражданин вправе выражать согласие на обработку сведений о себе самостоятельно. В нем лишь прописано, что при недееспособности субъекта согласие на обработку персональных данных дает его законный представитель (ч. 6 ст. 9 Закона № 152-ФЗ). Однако недееспособными считаются граждане, которые признаны таковыми судом, если они вследствие психического расстройства не могут понимать значение своих действий или руководить ими (п. 1 ст. 29 ГК РФ). Несовершеннолетние граждане таковыми не являются. В силу своего возраста они наделяются законом частичной дееспособностью, объем которой с возрастом расширяется.

Полагаем, что для решения вопроса о порядке обработки персональных данных несовершеннолетних следует руководствоваться ст. 26 и ст. 28 ГК РФ, ст. 64 СК РФ. Исходя из указанных норм, согласие на обработку персональных данных ребенка, не достигшего 14-летнего возраста, должен давать его законный представитель (родитель, опекун). Несовершеннолетние в возрасте от 14 до 18 лет могут давать разрешение на обработку сведений о себе в пределах установленного законодательством объема их дееспособности.

После вступления в брак или эмансипации несовершеннолетние, приобретая дееспособность в полном объеме, дают согласие на обработку своих персональных данных самостоятельно (ст. ст. 21, 27 ГК РФ).

Согласие, которое дается законным представителем ребенка, должно содержать, помимо общих реквизитов:

• ФИО и адрес представителя;

• реквизиты документа, удостоверяющего его личность;

• реквизиты документа, подтверждающего полномочия этого представителя (свидетельства о рождении (усыновлении), решения суда или органа опеки и попечительства).

С учетом тяжести потенциальных негативных последствий возможного несоблюдения контролируемым лицом обязательных требований обработка персональных данных несовершеннолетних лиц в случаях, не предусмотренных федеральными законами, относится к группе тяжести «Б» (пп. «б» п. 3 Критериев отнесения объектов контроля к определенной категории риска — Приложение к Положению, утвержденному Постановлением Правительства РФ от 29.06.2021 № 1046).

Ответственность за обработку персональных данных без согласия

За обработку персональных данных без письменного согласия субъекта на их обработку в случаях, когда такое согласие должно быть получено в соответствии с законом, за исключением случаев, предусмотренных ст. 17.13 КоАП РФ, если эти действия не содержат уголовно наказуемого деяния, установлен штраф (ч. 2 ст. 13.11 КоАП РФ):

• для компаний — от 30 тыс. до 150 тыс. рублей;

• для должностных лиц — от 20 тыс. до 40 тыс. рублей;

За повторное нарушение наказание будет более жестким (ч. 2.1 ст. 13.11 КоАП РФ):

• компании грозит штраф от 300 тыс. до 500 тыс. рублей;

• ее должностным лицам – штраф от 40 тыс. до 100 тыс. рублей.

Гражданин вправе отозвать свое согласие на обработку персональных данных (ч. 2 ст. 9 Закона № 152-ФЗ). В этом случае продолжение обработки персональных данных физлица без его согласия возможно только при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона № 152-ФЗ.

Заявление на отзыв согласия пишется в произвольной форме. В нем необходимо указать:

• полное наименование организации, которая осуществила сбор сведений;

• ее юридический адрес, а также фактический адрес отделения, если речь идет, например, о банке;

• сведения о заявителе: ФИО, номер и серию паспорта, адрес регистрации.

Лучше всего подавать заявление лично, в двух экземплярах. Один экземпляр, с отметкой о регистрации входящей документации, остается на руках у заявителя.

В случае отзыва согласия компания обязана прекратить обработку персональных данных и уничтожить, если их сохранение более не требуется для целей обработки. Для этого предоставляется срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено соглашением между гражданином и организацией. При отсутствии возможности уничтожить данные в этот срок их нужно заблокировать и обеспечить уничтожение по общему правилу в срок не более 6 месяцев (ч. 5, 6 ст. 21 Закона № 152-ФЗ).